Malware Kandykorn

È stato identificato che gli aggressori informatici sostenuti dal governo della Repubblica popolare democratica di Corea (RPDC) hanno preso di mira esperti blockchain associati a una piattaforma di scambio di criptovaluta non specificata attraverso la piattaforma di messaggistica Discord. Hanno utilizzato un nuovo malware macOS chiamato KANDYKORN. Questa minacciosa operazione risale all'aprile 2023 e presenta somiglianze con il famigerato gruppo di hacker noto come Lazarus Group , come indicato da un esame dell'infrastruttura di rete e delle tattiche utilizzate.

Gli aggressori hanno attirato i professionisti della blockchain utilizzando un'applicazione Python per stabilire un primo punto d'appoggio all'interno dell'ambiente preso di mira. L'intrusione è consistita in più fasi complesse, ciascuna delle quali incorporava tecniche deliberate per eludere il rilevamento e aggirare le misure di sicurezza.

Gli autori della minaccia hanno utilizzato esche di ingegneria sociale per diffondere il malware Kandykorn

L'utilizzo del malware macOS da parte del Gruppo Lazarus nelle proprie operazioni non è uno sviluppo recente. L'anno scorso, questo autore di minacce è stato osservato diffondere un'applicazione PDF manomessa, che alla fine ha portato all'implementazione di RustBucket, una backdoor basata su AppleScript. RustBucket aveva la capacità di recuperare un carico utile di seconda fase da un server remoto.

Ciò che distingue la nuova campagna è la tattica dell'aggressore di spacciarsi per ingegneri blockchain su un server Discord pubblico e impiegare tecniche di ingegneria sociale per indurre le vittime a scaricare ed eseguire un archivio ZIP contenente codice dannoso.

Alle vittime viene fatto credere che stanno installando un bot di arbitraggio, uno strumento software in grado di sfruttare le differenze nei tassi di criptovaluta tra le piattaforme a scopo di lucro. In realtà, questo processo ingannevole pone le basi per la consegna di KANDYKORN, che si svolge attraverso una progressione in cinque fasi.

Una catena di infezione a più fasi facilita l’infezione da malware Kandykorn

KANDYKORN rappresenta un sofisticato impianto dotato di un'ampia gamma di funzionalità progettate per il monitoraggio, l'interazione e l'elusione del rilevamento. Utilizza il caricamento riflettente, un metodo di esecuzione della memoria diretta che può potenzialmente eludere i meccanismi di rilevamento.

Il passaggio iniziale di questo processo prevede uno script Python, noto come "watcher.py", che recupera un altro script Python, "testSpeed.py", ospitato su Google Drive. Questo secondo script Python funge da contagocce e recupera un file Python aggiuntivo da un URL di Google Drive, denominato "FinderTools".

FinderTools funge anche da dropper, responsabile del download e dell'esecuzione di un payload nascosto di secondo stadio denominato "SUGARLOADER" (situato in /Users/shared/.sld e .log). SUGARLOADER stabilisce successivamente una connessione con un server remoto per recuperare KANDYKORN ed eseguirlo direttamente in memoria.

SUGARLOADER assume un ruolo aggiuntivo lanciando un binario autofirmato basato su Swift chiamato "HLOADER", che tenta di mascherarsi da applicazione Discord legittima ed eseguire ".log" (ovvero SUGARLOADER) per ottenere la persistenza attraverso una tecnica nota come esecuzione dirottamento del flusso.

KANDYKORN, che funge da carico utile definitivo, è un Trojan di accesso remoto (RAT) residente in memoria completo di funzionalità con funzionalità intrinseche per l'enumerazione dei file, l'esecuzione di malware supplementare, l'esfiltrazione di dati, la terminazione di processi e l'esecuzione di comandi arbitrari.

La presenza di KANDYKORN sottolinea gli sforzi continui della RPDC, in particolare attraverso entità come il Gruppo Lazarus, per prendere di mira le attività legate alle criptovalute. Il loro obiettivo principale è rubare la criptovaluta per aggirare le sanzioni internazionali che impediscono la crescita della loro economia e delle loro aspirazioni.